米国で学生ローン管理業者から個人情報250万件が流出

EdFinancialとOklahoma Student Loan Authority（OSLA）は、250万人以上のローン契約者に対し、データ流出により個人情報が漏洩したことを通知しています。

情報漏えいの対象となったのは、OSLAとEdFinancialのシステムとウェブポータルを提供するネブラスカ州リンカーンに本社を置くNelnet Servicing（ネルネット）です。

ネルネットは、2022年7月21日、影響を受けるローン受領者に書簡で情報漏えいを明らかにした。

"書簡によると、「当社のサイバーセキュリティチームは、情報システムの安全確保、疑わしい活動のブロック、問題の修正、および活動の性質と範囲を決定するために第三者のフォレンジック専門家との調査を開始するために直ちに行動を起こしました。」とあります。

調査の結果、ユーザーの個人情報が不正にアクセスされたことが判明しました。流出した情報には、学生ローンの口座保有者合計251万1324人分の氏名、自宅住所、電子メールアドレス、電話番号、社会保障番号などが含まれています。利用者の財務情報は流出していません。

ネルネットの顧問弁護士であるBill Munn氏がメイン州に提出した情報漏洩の開示書類によると、情報漏洩は2022年6月1日から2022年7月22日の間に発生したとのことです。

開示書類には、"2022年7月21日、当社のサービシングシステムおよび顧客向けウェブサイトのポータルサイトを提供するネルネットから、今回の事故につながったと思われる脆弱性を発見したとの連絡があった "とあります。

しかし、その脆弱性が何であったかは不明です。

また、"2022年8月17日、この調査により、特定の学生ローン口座登録情報が、2022年6月から2022年7月22日にかけて、未知の第三者によってアクセスされていたことが判明しました "ともあります。

ユーザーの最も重要な財務データは保護されましたが、ネルネットの侵害でアクセスされた個人情報は、今後のソーシャルエンジニアリングやフィッシングキャンペーンで活用される可能性があります。

学生ローンの免除に関する最近のニュースでは、この機会が詐欺師によって犯罪行為の入り口として利用されると予想されます。

先週、バイデン政権は、低・中所得のローン利用者を対象に、1万ドルの学生ローン債務を帳消しにする計画を発表したが、ローン免除プログラムは被害者を誘い出し、フィッシングメールを開かせるために使われるだろうと述べた。

最近流出したデータは、学生や新卒者をターゲットにしたフィッシング・キャンペーンで、被害を受けたブランドになりすますために使用されると警告しています。

開示によると、ネルネットはEdfinancialとOSLAに、同社のサイバーセキュリティチームが "情報システムの安全確保、疑わしい活動のブロック、問題の修正、活動の性質と範囲を特定するための第三者フォレンジック専門家との調査を直ちに開始した "と報告しています。

また、是正措置には、2年間の無料クレジット・モニタリング、クレジット・レポート、最高100万ドルの個人情報盗難保険が含まれていました。

出典：Student Loan Breach Exposes 2.5M Records

株式会社MORESCO 元従業員の逮捕について 2022年9月15日

当社の元従業員が不正競争防止法違反の容疑で兵庫県警に逮捕されましたので、下記のとおりお知らせいたします。

お客様と関係者の皆様に多大なご心配とご迷惑をおかけしたことを深くお詫び申し上げます。

元従業員が2021年４月に当社を退職するに際し、当社のダイカスト油剤等に関する営業秘密を不正に持ち出したことが、退職後の社内調査により判明いたしました。

上記の事実の判明後、当社は直ちに警察に相談し、捜査に全面的に協力してまいりました。このたび、警察からの公表を受け、当社としても本件についてお知らせする次第です。 

現時点では、当社への実質的な損害はなく、第三者による営業秘密の利用の事実もございません。

なお、現在、兵庫県警の捜査が行われているため、本件に関する詳細の公表は差し控えさせていただきます。

当社は、今後も警察の捜査に全面的に協力してまいりますとともに、今回の不正行為が行われた事実を厳粛に受け止め、従業員等に対するコンプライアンスの徹底および社内管理体制の強化により、再発防止に努めてまいります。

リリース文（アーカイブ）

宮城県 キャンペーンの賞品発送における個人情報の流出について 2022年9月15日

食産業振興課が実施している「食材王国みやぎ 地元産ありがとさん 地産地消でプレゼントキャンペーン」の令和４年８月分の賞品の一部について、誤って別の当選者の個人情報が分かる形で発送する事案が発生しました。

当選者の皆様に多大な御心配と御迷惑をおかけしましたことにつきまして、心からお詫び申し上げます。

１ 事案の内容

「食材王国みやぎ 地元産ありがとさん 地産地消でプレゼントキャンペーン」では、キャンペーン参画店で県産食材を使った料理を食べて・買って応募した方の中から、抽選で毎月 500 名に賞品を発送している。

８月分の賞品のうち、Ｃ賞「梅ドレッシング」（当選者 297 名）について、誤って発送ラベルを二重に貼った状態で発送した。そのため、当選者宛ての発送ラベルをはがすと、その下に貼られた別な当選者の名前、住所、電話番号が見える状態となっており、個人情報が流出したもの。

なお、令和４年９月１５日、賞品を受け取った方からの連絡により発覚した。

２ 原因

受託事業者（(株)ユーメディア）が、Ｃ賞の発送を販売元に依頼し、販売元が発送する際、宛名ラベルの記載を誤り、修正が必要となった。その際、販売元が誤ったラベルを破棄せず、誤ったラベルの上に修正したラベルを無作為に貼って賞品を発送したこと。

３ 判明後の対応

受託事業者からＣ賞の全当選者 297 名に電話連絡し、謝罪している。

別な当選者の個人情報が記載された発送ラベルを回収するため、全ての当選者に返送用封筒を送付している。

４ 再発防止策

誤ったラベルを破棄せずに送付したことが原因であることから、受託事業者に改めて個人情報の取扱について注意喚起を行い、再発防止に努める。

また、今後このようなことが再び発生しないよう、賞品発送時に、複数人でのダブルチェックを厳格に実施する。

リリース文（アーカイブ）

水戸ホーリーホック公式サイト 申し込みフォーム不具合による個人情報誤表示の可能性に関するお知らせとお詫び 2022年9月15日

2022年9月15日(木)、9/21(水)東京V戦で実施予定の選手サイン会イベント参加申し込みフォームにおいて、一部のお客様の氏名・電話番号が他のお客様に表示されてしまうという事案が発生いたしました。

お客様の大切な情報をお預かりしているにもかかわらず、本件のような事が発生したこと、該当のお客様に多大なるご迷惑をおかけしましたこと、そして多くのお客様や関係者にご心配をおかけいたしましたこと、深くお詫び申し上げます。

個人情報が誤って表示された可能性のある範囲は下記の通りで、事象の確認を進めております。

現時点で判明している事実は下記の通りです。

・該当件数

18件

・期間

2022年9月15日(木)18:00 〜 18:30の約30分

・漏洩した可能性がある情報

9月14日(水)V・ファーレン長崎戦の選手サイン会イベント申し込み者の氏名・電話番号

※漏洩の可能性のあるお客様の特定について現在調査中です。

本件に伴い、9/21(水)東京V戦で実施予定の選手サイン会イベントのフォーム受付について仕様を変更し、入力画面での個人情報の誤表示が起き得ない形で再受付を開始いたしました。

お客様の情報を安全に管理すべき中で、今回のような事案が発生しましたこと、心よりお詫び申し上げます。

弊社といたしましては、同様の事象が発生しないよう、再発防止に努めてまいります。

今後とも、変わらぬご愛顧を賜りますようお願い申し上げます。

リリース文（アーカイブ）

インドの航空会社「Akasa Air」において、乗客の個人情報のお漏らしが判明

インドで最も新しい民間航空会社であるAkasa Airが、顧客の個人情報を流出させ、同社はその原因を技術的な設定ミスと言い訳しています。

セキュリティ研究者のAshutosh Barot氏によると、この問題はアカウント登録プロセスにあり、名前、性別、電子メールアドレス、電話番号などの詳細が暴露されるに至ったとのことです。

このバグは、航空会社が同国での運航を開始した2022年8月7日に確認されました。

「名前、電子メール、電話番号、性別などをJSON形式で伝えるHTTPリクエストを見つけた 」とBarotは書き込みで述べています。「私はすぐにリクエストのパラメータを変更し、他のユーザーの個人情報を見ることができました。この問題を発見するのに約30分かかりました。」

報告を受けた同社は、セキュリティ対策を追加で組み込むため、システムの一部を一時的に停止したという。また、インドのコンピュータ緊急対応チーム（CERT-In）にも報告した。

Akasa Airは、旅行関連情報や支払いに関する詳細がアクセス可能な状態になったことはなく、この不具合が野放しにされていたことを示す証拠はないと強調した。

さらに同航空会社は、流出の規模はまだ不明だが、影響を受けたユーザーに直接通知したと述べ、"フィッシングの可能性に注意するようユーザーに助言した "と付け加えた。

出典：India's Newest Airline Akasa Air Found Leaking Passengers' Personal Information

クラウドサービス！？VaaS：Violence as a Service

 

ライバルを物理的に攻撃する人間を雇うことで決着をつけようとしているサイバー犯罪者グループに関する連邦捜査に関連して、ニュージャージー州の21歳の男が逮捕され、ストーカー行為で起訴された。検察当局によると、同被告は最近、ペンシルベニア州の住宅に拳銃を発砲し、同州の別の場所にある住宅に火炎瓶で放火するなど、こうした計画にいくつか参加していたとのことです。

ニュージャージー州エッグ・ハーバー・タウンシップ在住のPatrick McGovern-Allenは、米国連邦捜査局からの令状により、8月12日に逮捕されました。

検察によると、2022年1月2日午前2時頃、McGovern-Allenと正体不明の共謀者が、ペンシルベニア州ウエストチェスターの住宅に向けて複数の拳銃弾を発砲しました。幸いなことに、当時家の中にいた住人は誰も怪我をしませんでした。しかし検察によると、加害者たちは銃撃が行われた「証拠」として、実際にその様子をビデオに記録していたという。

捜査当局によると、McGovern-Allenは犯人の一人で、「Justin Activeはここにいた」と叫びながら、ウエストチェスターの住宅の下層階に少なくとも8発を無秩序に撃ち込んだという。

2021年12月18日、ペンシルベニア州アビントンタウンシップの警察は、住宅火災の直前に何かが投げ込まれたような音がしたという住民からの通報を受け、駆けつけました。

数週間後のウエストチェスターでの銃撃事件の日、ウエストタウン・イーストゴーシェン警察の刑事がアビントン警察に連絡し、複数のオンライン掲示板に出回っていた、2人の人物がアビントンの住宅に放火しているように見える別のビデオを共有しました。刑事訴状によると、2人の警察官は、両方のビデオに同じ容疑者が映っていることを確認したという。

この動画には、少なくとも2人の人物が窓を壊し、ボロ布に浸した瓶に火をつけて家の側面に投げつける様子が映っている。

"火炎瓶によって、家のサイディング、草、木製の椅子など、すぐ周囲が発火した "と、McGovern-Allenに対する政府の訴状には書かれています。"その後、2人の容疑者は徒歩で通りに向かって逃走し、ビデオが停止したときに何かを叫び始めた。"

政府は、被害者の名前をイニシャル（ウエストチェスターの銃撃は「K.M.」、アビントンの爆破は「A.R.」）で表記しているが、両者とも以前、敵対するサイバー犯罪集団からスワッティング攻撃（人質事件、自殺、爆弾予告などの警察への遭難信号を犯人が偽装し、標的とする住所に重武装した警察を送り込む）を受けたことがあると述べた。

訴状では、McGovern-Allenのオンライン名称「Tongue」がチャットサービス「Discord」で使用していたとされるハンドルとユーザーIDについて触れています（ユーザー：「Tongue#0001」）。

"チャットの中で、[Tongue]は他のDiscordユーザーに、自分がK.M.の家を銃撃した人物であり、火炎瓶を使った火災爆破を行う意思があると伝えています "と訴状は記載しています。

このTongueという別名に関連する数百のチャット記録を調査しましたが、どちらの攻撃も、ライバルのサイバー犯罪者の女友達を攻撃して仕返しをしたいという動機から行われたようです。

ペンシルベニア州ウエストチェスターの事件で、犯人が 「ジャスティン・アクティブはここにいた 」と叫んでいました。ジャスティン・アクティブは、同じサイバー犯罪チャンネルで同じように活躍している人物のニックネームだが、銃撃事件に関する知識や参加を激しく否定している。ジャスティン・アクティブはテレグラムで、銃撃事件の標的は自分の元恋人で、爆破事件の標的は別の友人であると述べています。

ジャスティン・アクティブは数カ月前から、この2つの攻撃はMcGovern-Allenに責任があり、自分に対する脅迫戦術として行われたものだと主張しています。ジャスティン・アクティブの別名[Nutcase68]は、McGovern-Allenが当局に逮捕されたのと同じ8月12日にTelegramで叫んでいます。

ジャスティン・アクティブの言い分は、刑事訴状にある、2022年4月2日のチャットへの言及によって裏付けられているようで、その中で[Tongue]は銃撃の理由を説明しています。

ジャスティン・アクティブと[Tongue]の2人が頻繁に利用していたテレグラムのチャットチャンネルには、それぞれ数百から数千人のメンバーがおり、これらのコミュニティでは対面での任務や作業のオファーがありました。

これらのオファーの多くは、特定の住所を訪問し、レンガを投げつけるために誰かを雇う「brickings」を実行するためのサービスです。

McGovern-Allenがニュースになったのは、少し前のことで、The Press of Atlantic Cityの2020年9月の記事によると、当時19歳のPatrick McGovern Allenが車で建物に突っ込み、住民を家から追い出したとのことです。

このような物理的な攻撃を他人に行わせることに関与している個人の多くは、いくつかのTelegramチャンネルにも頻繁に参加しています。その結果、物理的な攻撃の対象となる人々の大半は、サイバー犯罪者（あるいはその周辺にいる個人）である傾向があります。

出典：Violence-as-a-Service: Brickings, Firebombings & Shootings for Hire

GDPR遵守の失敗事例：ブリティッシュ・エアウェイズ

データ流出により2億3800万ドルの罰金に直面し、流出そのものは罰金の主な理由ではないと言われることを想像してみてください。2018年のデータ流出で約50万人の顧客の個人データが流出したブリティッシュ・エアウェイズに起きたのは、まさにそのような事態でした。

英国の情報コミッショナー事務所（ICO）による情報漏洩の調査は、同社が欧州の一般データ保護規則（GDPR）に違反したと結論づけた。武漢ウイルス（COVID-19）の大流行に起因する緩和要因により、最終的に罰金は2600万ドルに減額されましたが、英国の規制当局は、ブリティッシュ・エアウェイズが情報漏洩を防止するために必要なクライアント側のセキュリティ保護を備えていなかったことが、この罰金の大きな原因であると述べています。

2018年6月22日、サイバー犯罪者は、ブリティッシュ・エアウェイズの第三者サプライヤーの1社に発行されたリモートアクセスゲートウェイのログイン認証情報を侵害し、ブリティッシュ・エアウェイズの内部ネットワークにアクセスすることができました。これは6週間近く発見されないままでした。

そこから攻撃者は、サーバーに平文で保存されているログイン情報を使用して、ドメイン管理者アカウントへのアクセス権を獲得しました。その後、攻撃者はBAの公開ウェブサイト（BritishAirways.com）上のJavascriptファイルを編集し、顧客の支払いカードデータをサイバー犯罪者が管理するドメイン（BAways.com）にリダイレクトさせるようにしたのです。その後15日間、旅行者がブリティッシュ・エアウェイズのウェブサイトに決済カード情報を入力するたびに、そのコピーが攻撃者に送信されました。

2020年10月16日に発行されたICOのペナルティ通知書によると、攻撃者は約42万9612人の個人データにアクセスした。

• BA顧客の氏名、住所、カード番号、CVV番号：244,000人
• カード番号とCVV番号のみ：77,000人
• カード番号のみ：108,000人
• BAの従業員および管理者アカウントのユーザー名とパスワード、およびBAエグゼクティブ・クラブアカウントのユーザー名と暗証番号：最大612件

ICOは、BAがGDPRに基づく義務を遵守しなかったと判断しました。「BAは、適切な技術的および組織的措置を用いて、不正または違法な処理に対する保護、および不慮の損失、破壊、または損害に対する保護を含む、個人データの適切なセキュリティを確保する方法で個人データを処理しませんでした」と、処罰通知には記載されています。

ブリティッシュ・エアウェイズには多くの失敗がありましたが、その中でも特に、パートナーのエコシステムを可視化できていなかったことが挙げられます。GDPRの遵守を考えるのであれば、この可視性を確保する必要があります。Webサイトのパートナーの通常の行動を監視・管理するだけでなく、クライアントサイドの攻撃を成功させるためのベクトルとしてパートナーが利用されないようにする必要があります。

サイバー犯罪者は、Javascriptの脆弱性を利用することが多くなっています。この脆弱性は、スクリプトの出所に関係なく、すべてのスクリプトに、アクセスや作者の権限、Webページの変更、フォームを含むすべての情報へのアクセス、さらにはキー入力の記録や保存などの制御を同じレベルで可能にするものです。これもブリティッシュ・エアウェイズの攻撃における大きな要因でした。

BAは、攻撃中に発生したような悪意のある行為を検知するための対策、特にファイル整合性監視を導入することができたはずです。この種の監視は、組織のコードに加えられた変更をシステムが検出し、警告することを可能にします。攻撃者がコードを変更することを止めることはできませんが、変更が行われたことを検知し、それが不正なものであるかどうかを確認することができます。

BAは、手動による変更管理コントロールを確立していました。つまり、従業員がBAのウェブサイトに何らかの変更を加えたい場合、正式な変更管理プロセスを経て、その変更の承認を得る必要があったのです。しかし、BA社には、ウェブサイトのコードに対する不正な変更を検知するセキュリティ技術がありませんでした。この例では、BAは第三者からウェブサイトのコードに重大な変更が加えられたことを警告されただけだった。

英国の規制当局は、ブリティッシュ・エアウェイズがオンライン決済の際に消費者を保護するためのPCIデータ・セキュリティ基準（DSS）を遵守していなかったことも指摘した。罰則の通知では、BA社が重要なシステムファイル、設定ファイル、コンテンツファイルやスクリプトの完全性を検証できていないことが具体的に指摘されています。最近導入されたPCI DSS 4.0では、クライアント側のセキュリティに明確に焦点が当てられていることに留意する必要があります。

出典：British Airways: A Case Study in GDPR Compliance Failure

株式会社文化放送キャリアパートナーズ 当社サーバーへの不正アクセスに関するお知らせ 2022年9月16日

この度、当社は、当社東京オフィス内のサーバーに対して不正アクセス攻撃を受けたことを

確認いたしました。

お客さまはじめ関係各位におかけいたしますご迷惑、ご心配につきまして、

深くお詫び申し上げますとともに、以下お知らせいたします。

2022年9月16日(金)（午前2時頃）、当社東京オフィス内のサーバーにランサムウェアとみられる不正なアクセスがあったことを確認いたしました。

現在、被害の拡大を防ぐためにネットワークを遮断し、不正アクセスを受けたサーバー、ファイルの特定、不正アクセスの原因調査、復旧作業を併行して進めております。

関係諸機関への報告と助言のもと、連携しながら対応を進めており、今後、被害の範囲や不正アクセス原因、また復旧の目途など、より詳しい状況が判明次第、すみやかにお知らせいたします。

関係各位には、多大なるご迷惑およびご心配をおかけしますことを、深くお詫び申し上げます。

リリース文（アーカイブ）